최근 정부와 주요 기업 등을 노린 해킹 사고가 연이어 발생하면서 주요 기관 보안에 비상등이 켜졌다. 보안업계에선 '제로 트러스트'를 보안원칙으로 내세워 전반적인 보안관리를 강화해야 한다는 목소리가 나오고 있다. 제로 트러스트는 불신을 기반으로 최소한의 권한만을 사용자와 단말기에 부여하는 반복 인증 기반의 보안 방식이다.
7일 보안업계에 따르면 대한민국 정부 유튜브 채널을 대상으로 한 해킹 공격이 최근 연달아 발생했다. 지난 3일 오전 문화체육관광부가 운영 중인 정부 공식 유튜브 채널 '대한민국 정부' 관리 계정이 일시적으로 해킹당했다. 채널명은 '대한민국 정부'에서 '스페이스엑스 인베스트'로 변경됐고, 일론 머스크 테슬라 최고경영자의 가상자산 관련 영상이 게재됐다. 문체부는 이날 오전 6시쯤 해킹 피해 사실을 파악하고 사고 발생 4시간 후에야 채널을 복구했다. 이뿐만 아니라 문체부 산하 기관인 한국관광공사와 국립현대미술관의 유튜브 채널 역시 각각 지난 1일과 3일 해킹 공격을 받아 머스크의 영상이 재생되기도 했다.
지난 6월과 7월에도 YTN과 SBS 뉴스의 유튜브 채널이 해킹으로 가상화폐 홍보성 생중계 영상이 올라오는 등 먹통이 됐던 사례도 있다. 또 보그코리아, GQ코리아, W코리아 등 국내 잡지사 유튜브 채널 역시 지난 7월 해킹당해 갑자기 '마이크로스트레티지'라는 가상자산 회사 채널로 사용되기도 했다.
단순 영상 송출 채널이 해킹되는 사건에서 끝나지 않고 조직이 보관 중이던 주요 소비자 정보가 유출돼 실제 피해가 발생하는 사례도 있었다. 삼성전자 미국법인은 지난 7월 제3자로부터 해킹 공격을 당해 미국 소비자의 개인정보가 유출됐다고 지난 2일(현지시각) 밝혔다. 삼성전자 미국 법인에 따르면 회사는 8월 4일 일부 소비자의 이름, 연락처, 인구 통계 정보, 생년월일, 제품 등록 정보 등이 유출됐음을 확인했으며 현지 법 집행 기관과 관련 수사를 진행하고 있다.
보안업계에선 연이은 해킹 사고가 해킹 피해 조직의 명예 훼손 및 금전적 이득을 노린 공격이며 여기 대비해 전반적인 보안 체계를 강화해야 한다는 목소리가 나오고 있다. 특히 정부 기관과 방송국을 대상으로 하는 해킹의 경우, 해킹 대상의 신뢰도를 떨어뜨려 평판에 흠집을 내거나 가상자산 등을 홍보하기 위한 목적에 해커가 머무르기도 한다. 그러나 더 나아가 많은 구독자를 확보한 해킹 채널에 위장 홈페이지 주소를 올려 불특정 다수의 개인정보를 탈취하는 등 추가적인 범죄 피해도 발생할 수 있다고 전문가들은 지적했다.
권헌영 고려대 정보보호대학원 교수는 "주요 기관의 경우 내부망 보안은 상대적으로 철저하게 진행하고 있으나, 영상을 내보내는 단순 소통 채널이라는 이유로 유튜브 채널 보안에는 소홀했던 것 같다"라며 "중요한 정보를 보관하는 채널이 아니더라도 신뢰 차원에서 상징적인 의미가 있는 온라인 공간까지 보안을 강화해야 한다"라고 했다.
특히 유튜브 채널 해킹의 경우, 기술적 보안 결함을 노린 전문적이고 숙련된 해킹 공격이 아니라 신뢰할 수 있는 사람이나 기관 등을 사칭한 '스미싱'을 통한 유튜브 채널 계정 도용 등이 원인이었던 것으로 전문가들은 분석했다. 이번 해킹 피해를 본 한국관광공사와 국립현대미술관 역시 다수의 유튜브 권한대행 계정을 외부 하청업체가 관리하고 있었으며, 이들 중 일부 계정이 도용된 가능성이 큰 것으로 알려졌다.
김형중 고려대 정보보호대학원 특임교수는 "외부 용역업체에 아이디와 비밀번호 등을 맡긴 경우 이를 잘못 관리해 발생한 보안 참사다"라며 "기술적 보안 결함을 노린 기술적인 공격이 아니라 오히려 기본적인 보안 조치를 제대로 하지 않았기에 생긴 일이다"라고 했다.
전문가들은 '제로 트러스트' 보안 원칙을 기본으로 정부와 기업이 보안 시스템을 철저하게 관리해야 한다고 조언했다. 즉 계정관리 등 기본적인 보안 사항부터 다시 점검해야 한다는 것이다. 제로 트러스트는 2010년 존 킨더백 포레스터리서치 수석 애널리스트가 제시한 보안 방법론의 개념으로, 말 그대로 사용자나 단말기가 네트워크나 데이터에 접근을 요청할 때 처음부터 '아무도 신뢰하지 않는' 전략이다. 사용자 신원 증명과 단말기 접근 허가 및 유효성을 입증한 이후에도 '불신'을 기반으로 최소한의 권한만을 부여한다. 즉 단순 유튜브 계정 운영부터 주요 소비자의 정보가 보관된 서버까지 다양한 추가 인증 조치 등을 동원해 정교하게 정보를 보호해야 한다는 것이다.
보안업계 관계자는 "정부도 기업도 결국 보안에 일부 소홀해지면서 연달아 해킹 피해를 보고 있는 것이며, 내부 인력까지 모두를 철저하게 의심하며 추가 인증을 여러 차례 요구하는 제로 트러스트를 기반으로 보안을 개혁해야 한다"라고 했다.
임종인 고려대학교 정보보호대학원 특임교수는 "이번 삼성전자의 해킹 사태는 다행히 금융정보 등 주요 정보는 추가 암호화가 진행됐고 접근권한 관리도 더 철저해 해커가 가져가는 데 어려움이 있었던 것으로 보인다"라며 "그럼에도 여전히 개인정보가 유출됐다는 점에서 기업 보안을 더 철저하게 할 필요성이 있다"라고 했다.